７．１ 職員管理
医療機関等は、情報の盗難や不正行為、情報設備の不正利用等のリスク軽減を図るため、人による
誤りの防止を目的とした人的安全管理対策を策定する必要がある。これには守秘義務と違反時の罰則
に関する規定や教育・訓練に関する事項が含まれる。
以下の者については、医療機関等の職員に対する人的安全管理の対象として整理される。
（a） 医師、看護師等の業務で診療に関わる情報を取り扱い、法令上の守秘義務のある者
（b） 医事課職員、事務委託者等の医療機関等の事務の業務に携わり、雇用契約の下に医療情報を取
り扱い、守秘義務を負う者
いずれも、医療情報を取り扱う者として、守秘義務や教育・訓練等を受ける義務を課す雇用契約等
を締結することで、企画管理者は人的管理を行うことができる。なお、この場合、直接雇用する職員
だけではなく、派遣雇用の者も対象となる。
守秘義務については、就業時はもちろん、退職後においても遵守される必要がある。そのため、医
療機関等の職員に対して退職後を含めて医療情報に関する守秘義務を課すことが求められる。
７．２ 委託先事業者管理
医療情報システム等を委託する場合には、委託先事業者である法人としての事業者だけではなく、
実際にその業務にあたる者に対して、医療機関等の職員と同様の責任や守秘義務を課すことで、医療
機関等としての人的管理を実現する必要がある。
企画管理者は、委託先事業者との契約に際して、委託先事業者と当該事業者で業務にあたる者との
雇用契約等において、守秘義務等を含んでいることを確認し、委託先事業者において人的管理が適切
に行われることを確認する必要がある。
７．３ 教育・訓練
医療機関等の職員が医療情報の安全管理に関して遵守すべき内容を十分理解できるよう、教育を行
うことが求められる。また、非常時などでも適切に行動できるよう、通常時における訓練の実施も求
められる。
企画管理者は、職員に対する教育・訓練を定期的に行うことが必要である。また教育に関しては、
就業時においても実施することが求められる。
教育の内容のうち、医療情報システムの利用に関連する内容については、企画管理者は、システム
の担当者と協議の上、必要な事項を整理することが求められる。特に、近年、医療機関等におけるサ
イバー攻撃被害により、地域医療の安全性を脅かす事案も発生していることから、公表されている各
種資料を参考に、サイバー攻撃への対策や対応について、職員への教育を実施する必要がある。

- 29 -